MADRID, 27 Sep. (Portaltic/EP) -
Un grupo de investigadores ha identificado una vulnerabilidad que afecta a las unidades de procesamiento gráfico (GPU) de los principales proveedores como Intel, AMD y Nvidia, entre otros, que permite a sitios web maliciosos acceder a información personal robando los píxeles mostrados.
Según ha sido analizado, los fabricantes de GPU vulnerables a este ataque son Intel, AMD, Nvidia, Apple, Qualcomm y Arm y se puede realizar a través de los navegadores Chrome y Edge, basados en el Chromium de Google. No obstante, este fallo no funciona ni en Safari ni en Firefox.
Así lo han determinado investigadores de la Universidad de Texas (Estados Unidos), liderados por el investigador principal, Yingchen Wang, quien compartió el estudio con el medio especializado Ars Technica.
Según la investigación, la vulnerabilidad se basa en un ataque de origen cruzado, y permite que un sitio web malicioso de un dominio lea los píxeles mostrados en el sitio web robando esta información.
De esta manera, los atacantes pueden utilizar dichos píxeles para reconstruir lo mostrado en pantalla, permitiendo conocer las palabras e imágenes mostradas y, por tanto, consiguiendo acceso a información sensible de los usuarios, como nombres de usuario y contraseñas.
En este sentido, tal y como ha explicado el mismo medio, esta filtración quebranta la 'Política del mismo origen', uno de los principios de seguridad de Internet que se basa en un mecanismo que ayuda a evitar que un sitio web malicioso pueda leer datos de un servicio en un sitio web, y transmitir posteriormente dichos datos al atacante.
Para investigar la vulnerabilidad, los investigadores desarrollaron un ataque de prueba al que se refirieron como GPU.zip. Con este ataque, el sitio web malicioso escoge un enlace de la página web de la que desea robar los píxeles y lo coloca dentro de un elemento HTML que permite a los sitios web incrustar contenido como anuncios o imágenes, denominado 'iframe'.
Este contenido pasa desapercibido porque la política del mismo origen de Internet impide que se inspeccione el código fuente de estos elementos.
En este marco, los investigadores detectaron que cuando las GPU comprimen automáticamente los datos visuales del sitio web para mejorar el rendimiento, actúan como un canal lateral que los actores maliciosos aprovechan para robar píxeles.
Según explica Wang, la compresión se hace para "ahorrar ancho de banda de la memoria y mejorar el rendimiento". En este marco, ha indicado que "dado que la compresibilidad depende de los datos, esta optimización crea un canal lateral que un atacante puede explotar para revelar información sobre los datos visuales".
Además, la investigación también ha concluido que para que el ataque GPU.zip entre en acción, se debe cargar una página maliciosa en los navegadores Chrome o Edge. Sin embargo, Firefox y Safari pueden impedir que el ataque se lleve a cabo dadas sus características internas.
Otro requisito necesario para que el ataque funcione es que la página vinculada en el iframe no esté configurada de tal forma que niegue la incorporación de sitios web de origen cruzado. No obstante, desde Ars Technica han recordado que la mayoría de sitios web sí restringen la incrustación de sitios web de origen cruzado, sobre todo, cuando muestran información confidencial como nombres y contraseñas.
"Nuestro ataque de prueba de concepto tiene éxito en una variedad de dispositivos (incluidas computadoras y teléfonos) de diversos proveedores de hardware con distintas arquitecturas de GPU (Intel, AMD, Apple, Nvidia)", han sentenciado los investigadores.